org.xwiki.platform:xwiki-platform-security-requiredrights-default 必要な権利分析は、デフォルトのコンテンツタイプを持つTextAreasを考慮しない

この脆弱性を悪用されると、攻撃者はXWikiのページ編集機能を利用して、悪意のあるスクリプトを挿入できます。編集権限を持つユーザーがそのページを編集すると、スクリプトが実行され、攻撃者は機密情報を盗み取ったり、ユーザーを偽のウェブサイトにリダイレクトしたり、XWikiインスタンスの機能を妨害したりする可能性があります。特に、管理者権限を持つユーザーが編集した場合、システム全体への影響が及ぶ可能性があります。類似のXSS脆弱性は、ウェブアプリケーションにおいて広く見られる攻撃手法であり、この脆弱性も同様に悪用される可能性があります。

Organizations heavily reliant on XWiki Platform for content management and collaboration are at significant risk. Specifically, deployments with a large number of users with elevated privileges (script, admin, or programming rights) are particularly vulnerable. Environments where users frequently edit pages containing properties are also at increased risk.

• linux / server:

journalctl -u xwiki -f | grep -i "script injection"

• generic web:

curl -I <xwiki_url>/xwiki/bin/view/Main/MainPage | grep -i "Content-Security-Policy"

• database (mysql):

SELECT property_name, property_value FROM xwiki_property WHERE property_value LIKE '%<script%'

1. 2025-04-29Disclosure

   disclosure

1. 予約済み2025-04-14
2. 公開日2025-04-29
3. 更新日2025-04-30
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずXWiki Platformを15.10.8以降のバージョンにアップグレードすることが推奨されます。アップグレードが困難な場合は、一時的な回避策として、ページ編集時に実行されるスクリプトの実行を制限するカスタムセキュリティポリシーを実装することを検討してください。また、ウェブアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。XWikiのアクセスログを監視し、不審なアクティビティがないか確認することも重要です。アップグレード後、XWikiのセキュリティ設定を再確認し、不要な権限を削除するなど、セキュリティ強化策を講じてください。